Desarticulado ‘Anonymous Fénix’: detenidos los cuatro principales miembros por ciberataques a instituciones

La Guardia Civil ha detenido a los cuatro integrantes considerados como núcleo principal del grupo hacker español que operaba bajo la denominación de ‘Anonymous Fénix’, al que se atribuyen ciberataques dirigidos contra ministerios, partidos políticos y otras instituciones públicas tanto en España como en países de Sudamérica.

Según ha informado el Instituto Armado, las dos detenciones más recientes se han practicado en Ibiza y en Móstoles (Madrid), donde fueron arrestados los miembros que, presuntamente, mantenían una mayor actividad operativa dentro de la organización. Estos arrestos se suman a los realizados en mayo del pasado año en Alcalá de Henares (Madrid) y Oviedo (Asturias), cuando fueron localizados y detenidos el administrador y el moderador del grupo.

Los investigados se presentaban en redes sociales como parte del movimiento internacional Anonymous, si bien actuaban bajo su propia estructura y denominación. La principal herramienta empleada, según las pesquisas, eran ataques de denegación distribuida de servicio (DDoS, por sus siglas en inglés). Este tipo de acción consiste en enviar de forma masiva solicitudes de acceso a una página web o sistema informático con el objetivo de saturarlo, provocando su caída temporal e impidiendo el acceso a usuarios legítimos.

La investigación sitúa el inicio de la actividad del grupo en abril de 2023. Desde entonces, ‘Anonymous Fénix’ mantuvo una presencia constante en la red social X y en Telegram, plataformas que utilizaban para difundir comunicados, reivindicar acciones y publicar mensajes críticos contra instituciones españolas y administraciones de distintos países latinoamericanos.

El volumen de actividad aumentó a partir de septiembre de 2024. En ese periodo, los responsables habrían impulsado una campaña de captación de colaboradores con el fin de ampliar su capacidad de ataque contra dominios considerados estratégicos. Según la Guardia Civil, el momento de mayor intensidad se produjo tras la DANA que afectó a la Comunidad Valenciana, cuando el grupo logró interrumpir el funcionamiento de varias páginas web de la Administración Pública. En los mensajes difundidos, justificaban estas acciones atribuyendo responsabilidades institucionales en relación con la gestión de la catástrofe.

Las primeras detenciones, practicadas en mayo de 2025, permitieron intervenir dispositivos electrónicos y recopilar información clave para avanzar en la investigación. El análisis técnico de ese material condujo a la identificación de los otros dos miembros considerados más activos, arrestados a mediados de este mes.

En el marco de la operación, la autoridad judicial ha ordenado la intervención del perfil del grupo en X y de su cuenta en YouTube. Asimismo, el canal que utilizaban en Telegram ha sido clausurado. La investigación ha contado con la colaboración del Centro Criptológico Nacional y ha estado coordinada por la Fiscalía de Sala de Criminalidad Informática, la Fiscalía de Madrid y el órgano judicial competente del Tribunal de Instancia de Madrid. Las diligencias continúan abiertas para esclarecer el alcance total de los ataques y determinar posibles responsabilidades adicionales.